Brute Force là hình thức tấn công vô cùng cổ điển, trong đó các tội phạm sẽ sử dụng một phần mềm tự động để thử mật khẩu đến khi đăng nhập vào được tài khoản người dùng. Từ đó mà tội phạm thu nhập và đánh cắp những thông tin và dữ liệu quan trọng. Do đó, nếu mật khẩu bạn càng dễ nhớ thì càng nhanh bị “hack” và bị đánh cắp dữ liệu.
Hãy cùng tìm hiểu chi tiết hơn về Brute Force cũng như cách phòng tránh Brute Force hiệu quả nhất hiện nay.
Brute Force là gì?
Brute Force là một trong những hình thức tấn công mạng phổ biến. Phương pháp này hoạt động bằng cách trộn các ký tự với nhau và kết hợp tạo thành một mật khẩu cho đến khi tạo ra mật khẩu đúng. Tấn công Brute Force vô cùng đơn giản, không cần kỹ thuật chuyên môn nhưng lại có tỷ lệ thành công cao nhất so với những hình thức tấn công mạng khác.
Bởi vì Brute Force dựa trên sơ sở toán học và xoay vòng ký tự theo luân phiên nên thời gian để bẻ khóa mật khẩu có thể chỉ mất vài giây, vài ngày hoặc vài tháng, tùy vào độ dài và mức độ khó của mật khẩu gốc.
Nguyên nhân và hậu quả của tấn công Brute Force
Bất kỳ ai cũng có thể trở thành nạn nhân bị tấn công của Brute Force, đặc biệt là những người nắm giữ thông tin/vai trò quan trọng trong tổ chức/doanh nghiệp. Phần lớn nguyên nhân mà tài khoản bạn bị tấn công chính là vì chủ quan trong việc đặt mật khẩu. Tiêu biểu như:
- Đặt mật khẩu là họ tên, ngày tháng sinh, tên thú cưng: tội phạm rất dễ dàng để có được những thông tin này.
- Không thường xuyên thay đổi mật khẩu: điều này sẽ giúp hacker có thêm thời gian tìm ra mật khẩu của bạn.
- Đặt mật khẩu quá dễ đoán, không an toàn: khiến cho tin tặc nhanh chóng đoán được mật khẩu mà xâm nhập dữ liệu của bạn.
- Không bảo mật link đăng nhập: Có rất nhiều người chủ quan rằng trang web mình đang sử dụng bảo mật rất tốt, nhưng các hacker luôn có thể xâm nhập vào trang web mà tìm kiếm tài khoản-mật khẩu của bạn.
- Tìm hiểu thêm các nguyên nhân mật khẩu yếu tại đây.
Khi tài khoản bạn bị tấn công thành công bởi Brute Force, bạn có thể phải gặp những điều sau:
- Bị rò rỉ hình ảnh/dữ liệu nhạy cảm.
- Bị chèn mã độc gây ảnh hưởng đến tài khoản.
- Bị tin tặc tống tiền, đe dọa hay yêu cầu thực hiện điều gì xấu xa.
- Gây ảnh hưởng đến danh tiếng, hoạt động của các doanh nghiệp.
- Làm gián đoạn công việc.
Các hình thức phổ biến của tấn công Brute Force
Hiện nay tấn công Brute Force có 6 hình thức như sau:
Simple Brute Force
Các tin tặc sẽ thu nhập những thông tin của bạn và sau đó đoán tên tài khoản cũng như mật khẩu. Hình thức tấn công này không sử dụng phần mềm hay các phương tiện khác hỗ trợ.
Hybrid Brute Force
Phương pháp này bắt đầu từ việc xác định nhóm tổ hợp mật khẩu có khả năng chính xác cao. Sau đó tin tặc tiếp tục thu nhập thông tin liên quan đến người sử dụng như hình thức Simple Brute Force để tìm ra thêm nhiều tổ hợp khả thi.
Dictionary
Hình thức này hoạt động bằng cách xâu chuỗi các từ trong từ điển hay những cụm từ khả thi để đoán tên tài khoản và mật khẩu của nạn nhân.
Rainbow Table
Rainbow Table là một bảng đã được tính toán về khả năng khớp kết quả của các mật khẩu “đoán” với mật khẩu đúng trong hàm hash. Hàm hash là hàm mà khi bạn nhập mật khẩu, mật khẩu bạn sẽ được chạy qua hàm và được mã hóa thông qua hàm băm. (Tìm hiểu thêm về hàm hash và hàm băm tại đây)
Reverse Brute Force
Hình thức tấn công này chính là sử dụng một mật khẩu chung hoặc một tập hợp nhiều mật khẩu để thử với các tài khoản có khả thi. Thường thì Reverse Brute Force được tin tặc sử dụng nhằm vào một mạng lưới trang web.
Credential Stuffing
Tấn công Credential Stuffing là hình thức mà tội phạm sử dụng cặp tên tài khoản-mật khẩu đã biết trước trên nhiều trang web khác nhau. Sở dĩ cho điều này là bởi vì nhiều người có thói quen dùng 1 tên tài khoản-mật khẩu cho tất cả tài khoản trên nhiều trang web khác nhau.
Một số cách phòng tránh tấn công Brute Force
Để có thể hạn chế mọi rủi ro trở thành nạn nhân bị tấn công Brute Force thì dù là cá nhân hay doanh nghiệp nên thực hiện các điều sau.
Đặt tên tài khoản khó đoán
Phần lớn mọi người đều có thói quen sử dụng tên của mình để làm tên tài khoản như: kimthanh, kmthanh, kimthanhle,… Nhưng cách đặt tên này lại vô cùng dễ đoán và dễ biết. Thay vào đó, bạn nên thêm vào những con số hay sử dụng tên không liên quan đến bản thân.
Đặt mật khẩu mạnh
Một mật khẩu mạnh là có ít nhất 12 ký tự bao gồm chữ viết thường, chữ viết hoa, số, ký tự đặc biệt. Ví dụ như: LekimThanh151@, ThnhaKmiEl9@9,… Đặc biệt bạn không được sử dụng các thông tin cá nhân như ngày sinh, họ tên, địa chỉ bản thân làm mật khẩu.
Bạn có thể kiểm tra thử mật khẩu mình đủ mạnh chưa tại đây.
Thường xuyên thay đổi mật khẩu
Đây là điều cần được thực hiện thường xuyên để thoát khỏi những vụ rò rỉ dữ liệu trên mạng. Nếu bạn từng là nạn nhân của tấn công dữ liệu mạng thì tin tặc rất có thể sẽ tiếp tục dùng những thông tin đã đánh cắp trước đó để tiếp tục đăng nhập vào tài khoản bạn.
Bảo mật đường link đăng nhập
Với những bạn là quản trị viên thì hãy thay đổi đường link dẫn đăng nhập mặc định. Điều này sẽ tránh cho tin tặc lợi dụng sơ hở mà truy tìm được trang đăng nhập mà kiểm tra tài khoản bạn trên hệ thống.
Giới hạn số lần nhập mật khẩu
Bạn nên thiết lập cho phép đăng nhập sai tối đa 3 lần trước khi khóa tính năng đăng nhập trong vài phút. Việc này cũng làm giảm rủi tấn công của tin tặc.
Phòng tránh Brute Force cùng trình quản lý mật khẩu Locker
Ngoài những cách phòng tránh tấn công Brute Force đã giới thiệu ở trên thì bạn có thể sử dụng trình quản lý mật khẩu – Locker để ngăn chặn Brute Force từ tội phạm.
Locker là một ứng dụng hỗ trợ người dùng trong việc bảo mật tài khoản cũng như mật khẩu. Một số tính năng nổi bật của Locker như:
- Xác thực 2 yếu tố 2FA: Tăng thêm một lớp bảo mật cho tài khoản
- Đề xuất mật khẩu mạnh và tự động đăng nhập: Locker sẽ gợi ý cho bạn những mật khẩu mạnh và bạn không cần phải ghi nhớ bởi Locker sẽ tự động đăng nhập cho lần sau.
- Kiểm tra rò rỉ dữ liệu thường xuyên: Locker sẽ định kỳ kiểm tra tài khoản cũng như dữ liệu bạn đã bị rò rỉ hay chưa.
- Lưu trữ mật khẩu dưới mã hóa AES 256 bit: là kiểu mã hóa tiêu chuẩn với khả năng bảo mật rất cao.
Trên đây là một vài thông tin cũng như cách phòng tránh Brute Force. Hy vọng sau bài viết này, bạn đã biết thêm về một hình thức tấn công mạng gây ảnh hưởng đến người dùng. Hãy tạo tài khoản Locker để chúng tôi giúp bảo mật tài khoản và thông tin của bạn!